我已经配置了我们的 RADIUS 客户端 (pfSense) 和 Windows 2008 NPS,以便通过 RADIUS 进行身份验证。该设置是一个强制门户,LAN 用户可以通过 Active Directory 进行身份验证。
查看我们的事件日志时,我在登录测试后看到以下错误。
网络策略服务器拒绝用户访问。
Contact the Network Policy Server administrator for more information.
User:
Security ID: CAMPUS\testuser
Account Name: testuser
Account Domain: CAMPUS
Fully Qualified Account Name: campus.mydomain.local/Users/Administrator
Client Machine:
Security ID: NULL SID
Account Name: -
Fully Qualified Account Name: -
OS-Version: -
Called Station Identifier: -
Calling Station Identifier: -
NAS:
NAS IPv4 Address: 0.0.0.0
NAS IPv6 Address: -
NAS Identifier: pfsense.campus.mydomain.local
NAS Port-Type: -
NAS Port: -
RADIUS Client:
Client Friendly Name: pfSense
Client IP Address: 192.168.1.6
Authentication Details:
Proxy Policy Name: Use Windows authentication for all users
Network Policy Name: Connections to other access servers
Authentication Provider: Windows
Authentication Server: AGDC01.campus.mydomain.local
Authentication Type: PAP
EAP Type: -
Account Session Identifier: -
Reason Code: 65
Reason: The connection attempt failed because network access permission for the user account was denied. To allow network access, enable network access permission for the user account, or, if the user account specifies that access is controlled through the matching network policy, enable network access permission for that network policy.
这与我向哪个用户进行身份验证无关。在 AD 中,我们的用户设置为“通过 NPS 网络策略控制访问”。我期待得到一些帮助,因为我陷入了困境。
答案1
我确信我不是第一个遇到这种情况的人,所以我回答了自己的问题。在 NPS 中,必须更改以下内容,问题才能得到解决。
在 NPS 内,转到:
- 政策 >> 网络政策
- 已禁用“连接到其他访问服务器”
这纠正了问题,并且为了安全起见,命令政策如下:
- 连接到 Microsoft 路由和远程访问服务器(已启用)
- 允许 pfSense(已启用)
- 连接到其他访问服务器(已禁用)